¿Es seguro usar el cifrado TLS_RSA_WITH_NULL_SHA?

3

Estoy viendo que el cifrado TLS_RSA_WITH_NULL_SHA aparece en la lista cuando hago una prueba de conexión TLS_1.2 utilizando la herramienta TestSSLServer. Recuerdo que hace un tiempo, algunas herramientas de prueba de seguridad informaron que el cifrado NULL debería estar en desuso y no es una buena práctica implementar para una aplicación segura.

Mi pregunta aquí es qué tan riesgoso sería tener RSA_WITH_NULL_SHA en mi aplicación, donde la seguridad es una preocupación importante.

Cualquier sugerencia / comentario / pensamiento es bienvenido.

    
pregunta Farooq Mohammad 20.01.2017 - 14:53
fuente

1 respuesta

3

Esto depende en gran medida de sus objetivos de seguridad. Los cifrados NULL proporcionan autenticidad e integridad, pero no ofrecen confidencialidad. Es decir, cuando se usa dicho cifrado, un adversario con capacidad de captura de tráfico pasiva podrá saber qué está enviando a través del canal TLS. Además, un adversario en la posición MitM puede causar una degradación a este cifrado. Entonces, si la confidencialidad es importante, incluso en algunas circunstancias, este cifrado no debería estar en la lista.

Nuevamente, para asegurarte de que lo entiendes, los conjuntos de cifrados NULOS no ofrecen cifrado en absoluto .

    
respondido por el Kirill Sinitski 20.01.2017 - 15:20
fuente

Lea otras preguntas en las etiquetas